بیت کوین Core سیاست افشای امنیتی جدیدی را اعلام کرد

بیت کوین Core سیاست افشای امنیتی جدیدی را اعلام کرد

گروهی از توسعه دهندگان بیت کوین Core یک سیاست افشای امنیتی جامع را برای رفع کاستی های گذشته در انتشار باگ های مهم امنیتی معرفی کرده اند.

هدف این سیاست جدید ایجاد یک فرآیند استاندارد برای گزارش‌دهی و افشای آسیب‌پذیری‌ها، در نتیجه بهبود شفافیت و امنیت در اکوسیستم بیت‌کوین است.

چندین آسیب‌پذیری که قبلاً فاش نشده بود نیز در این اعلامیه گنجانده شده است.

افشای امنیتی چیست؟

افشای امنیتی فرآیندی است که از طریق آن محققان امنیتی یا هکرهای اخلاقی آسیب‌پذیری‌هایی را که در نرم‌افزار یا سیستم‌ها کشف می‌کنند به سازمان آسیب‌دیده گزارش می‌دهند. هدف این است که به سازمان اجازه دهیم این آسیب‌پذیری‌ها را قبل از اینکه توسط عوامل مخرب مورد سوء استفاده قرار گیرند، برطرف کند. این فرآیند معمولاً شامل کشف آسیب‌پذیری، گزارش محرمانه آن، تأیید وجود آن، ایجاد یک راه‌حل، و در نهایت، افشای عمومی آسیب‌پذیری همراه با جزئیات و توصیه‌های کاهش است.

آیا کاربران باید نگران باشند؟

آخرین افشای امنیتی بیت کوین Core آسیب پذیری های مختلف را با شدت های متفاوت برطرف می کند. مسائل کلیدی شامل آسیب‌پذیری‌های متعدد انکار سرویس (DoS) است که می‌تواند باعث اختلال در سرویس شود، نقص اجرای کد از راه دور (RCE) در کتابخانه miniUPnPc، اشکالات رسیدگی به تراکنش‌ها که می‌تواند منجر به سانسور یا مدیریت نادرست تراکنش‌های یتیم شود، و آسیب‌پذیری‌های شبکه مانند به عنوان انفجار بافر و سرریز برچسب زمانی که منجر به تقسیم شبکه می شود.

گمان نمی‌رود که هیچ یک از این آسیب‌پذیری‌ها در حال حاضر خطری حیاتی برای شبکه بیت‌کوین داشته باشند. صرف نظر از این، کاربران به شدت تشویق می شوند که مطمئن شوند نرم افزارشان به روز است.

برای اطلاعات دقیق، به تعهدات در GitHub: افشای امنیت هسته بیت کوین مراجعه کنید.

بهبود فرآیند افشای اطلاعات

سیاست جدید بیت کوین Core آسیب پذیری ها را در چهار سطح شدت طبقه بندی می کند: کم، متوسط، زیاد و بحرانی.

  • شدت کم: اشکالاتی که استفاده از آنها دشوار است یا کمترین تأثیر را دارند. این موارد دو هفته پس از انتشار اصلاحیه فاش خواهند شد.
  • شدت متوسط ​​و زیاد: اشکالات با تاثیر قابل توجه یا سهولت متوسط ​​بهره برداری. این‌ها یک سال پس از پایان عمر آخرین نسخه آسیب‌دیده (EOL) افشا می‌شوند.
  • شدت بحرانی: اشکالاتی که یکپارچگی کل شبکه را تهدید می‌کنند، مانند آسیب‌پذیری‌های تورم یا سرقت سکه، به دلیل ماهیت شدیدشان با رویه‌های موقتی رسیدگی می‌شوند.

هدف این خط‌مشی ارائه فرآیندهای ردیابی و افشای استاندارد شده، تشویق گزارش‌دهی مسئولانه و اجازه دادن به جامعه برای رسیدگی سریع به مسائل است.

تاریخچه افشای CVE در بیت کوین

بیت‌کوین در طول سال‌ها چندین مشکل امنیتی قابل‌توجه را تجربه کرده است که با نام CVE (آسیب‌پذیری‌ها و مواجهه‌های رایج) شناخته می‌شوند. این حوادث اهمیت شیوه های امنیتی هوشیار و به روز رسانی به موقع را برجسته می کند. در اینجا چند مثال کلیدی آورده شده است:

CVE-2012-2459: این باگ حیاتی می‌تواند با اجازه دادن به مهاجمان برای ایجاد بلوک‌های نامعتبر که معتبر به نظر می‌رسند، مشکلاتی در شبکه ایجاد کند و به طور بالقوه شبکه بیت‌کوین را به طور موقت تقسیم کند. در نسخه 0.6.1 بیت کوین Core رفع شد و باعث بهبود بیشتر در پروتکل های امنیتی بیت کوین شد.

CVE-2018-17144: یک اشکال حیاتی که می‌توانست به مهاجمان اجازه دهد بیت‌کوین‌های اضافی ایجاد کنند و اصل عرضه ثابت را نقض کند. این مشکل در سپتامبر 2018 کشف و برطرف شد. کاربران باید نرم افزار خود را برای جلوگیری از سوء استفاده احتمالی به روز کنند.

علاوه بر این، جامعه بیت‌کوین درباره آسیب‌پذیری‌های مختلف و رفع بالقوه‌ای که هنوز پیاده‌سازی نشده‌اند، بحث کرده است.

CVE-2013-2292: با ایجاد بلوک هایی که تأیید آنها زمان بسیار زیادی می برد، مهاجم می تواند به طور قابل توجهی سرعت شبکه را کاهش دهد.

CVE-2017-12842: این آسیب‌پذیری می‌تواند کیف پول‌های سبک وزن بیت‌کوین را فریب دهد تا فکر کنند در حالی که پرداختی دریافت نکرده‌اند. این برای مشتریان SPV (تأیید پرداخت ساده) خطرناک است.

گفتگو پیرامون این آسیب‌پذیری‌ها بر نیاز مداوم به به‌روزرسانی‌های هماهنگ و پشتیبانی شده توسط جامعه برای پروتکل بیت‌کوین تأکید می‌کند. تحقیقات در حال انجام در مورد ایده یک فورک نرم افزاری پاکسازی اجماع به دنبال رسیدگی به آسیب پذیری های پنهان به شیوه ای یکپارچه و کارآمد است و از استحکام و امنیت مستمر شبکه بیت کوین اطمینان حاصل می کند.

حفظ امنیت نرم افزار یک فرآیند پویا است که نیازمند هوشیاری و به روز رسانی مداوم است. این با بحث گسترده تر در مورد استخوان سازی بیت کوین تلاقی می کند – جایی که پروتکل اصلی برای حفظ ثبات و اعتماد بدون تغییر باقی می ماند. در حالی که برخی از حداقل تغییرات برای جلوگیری از خطرات دفاع می کنند، برخی دیگر استدلال می کنند که به روز رسانی های گاه به گاه برای افزایش امنیت و عملکرد ضروری است.

این سیاست افشای جدید توسط Bitcoin Core گامی در جهت متعادل کردن این دیدگاه‌ها با حصول اطمینان از اینکه هرگونه به‌روزرسانی لازم به خوبی اطلاع رسانی شده و مسئولانه مدیریت می‌شود، است.